»V svetu informacijske varnosti je odjeknila novica o ranljivosti v protokolu Server Message Block 3.0 (SMBv3). Po naključju ravnokar minevajo tri leta od zlorabe starejše verzije protokola SMB in porajajo se strahovi, da bi se zgodba ponovila ter v kibernetski svet vnesla negotovost in dodatna tveganja, saj je protokol SMBv3 privzeto omogočen na ranljivih različicah operacijskega sistema Windows,« v svojem blogu pišeta varnostna strokovnjaka David Kasabji in Boštjan Žvanut iz podjetja NIL.
Kot pojasnjujeta avtorja, je skupina The Shadow Brokers pred skoraj natančno tremi leti razkrila ranljivost EternalBlue v protokolu SMBv1, ki jo je predhodno uporabljala NSA in so jo pozneje hekerji izkoristili za najbolj uničujoče napade z zlonamerno programsko opremo, kot sta bila na primer WannaCry in NotPetya.
Kaj je ranljivost SMBv3?
Gre za tako imenovano ranljivost »buffer overflow« v protokolu SMB na novejših sistemih Microsoft Windows. Oddaljeni napadalec jo lahko izkoristi tako, da na napadenem računalniku izvede poljubno škodljivo kodo znotraj aplikacije.
V nasprotju z ranljivostjo izpred treh let, ko so bile prizadete skoraj vse stare verzije sistemov Microsoft Windows, so zdaj prizadete novejše različice, a v omejenem obsegu – prevladujejo namizni sistemi Windows, strežnikov je manj.
Popravka za ranljivost še ni, zato govorimo o ranljivosti prvega dne. »To je nevarno, še posebej, če se spomnimo zlorab SMBv1 v primeru EternalBlue,« opozarjata Kasabji in Žvanut.
Kako se lahko zaščitite?
Dokler ne bo na voljo varnostnega popravka, avtorja svetujeta, da izvajate splošne ukrepe za krepitev kibernetske obrambe in specifične ukrepe za zmanjševanje ranljivosti. Svetujeta, da:
- omejite omrežni promet za SMB in RDP na končnih delovnih postajah,
- čim prej namestite varnostne popravke,
- segmentirate omrežja in uvedete politike dostopa,
- omejite možnost izkoriščanja ranljivosti v protokolu SMBv3, kar storite tako, da onemogočite kompresijo, ki se uporablja pri tem protokolu.
V NIL-ovem varnostnooperativnem centru (SOC) so preverili nekaj poslovnih okolij in ocenili uporabo protokola SMBv3. V korporativnih okoljih svetujejo onemogočanje protokola SMBv1, protokol SMBv3 pa uporabljajo v manj kot desetini organizacij. Zato ne gre pričakovati napadov in zlorab takšnih razsežnosti, kot so se dogajali pred tremi leti. Vseeno pa moramo biti pazljivi, saj je SMBv3 privzeto omogočen na ranljivih različicah operacijskih sistemov Windows, kar bi lahko vodilo v uspešno lateracijo hekerjev.
Trenutno informacije, da bi se omenjena ranljivost uspešno zlorabljala, še ni, pojavljajo pa se znamenja o prodaji na »temni strani interneta« in o prvih morebitnih primerih uspešne zlorabe ranljivosti.
Celoten zapis lahko preberete NA TEJ SPLETNI POVEZAVI>>.
